Le affermazioni comuni trovate nei token di Azure e Oauth includono quanto segue:
* AUD (pubblico): questo identifica il destinatario previsto del token, che, per Azure AD B2C, è l'ID dell'applicazione. Le applicazioni dovrebbero convalidare questo valore per assicurarsi che corrisponda al proprio ID e rifiuta il token se non lo è [3]. Il pubblico è sinonimo di risorsa [3].
* ISS (emittente): questo reclamo identifica il servizio token di sicurezza (STS) che ha costruito e restituito il token e identifica anche la directory in cui l'utente è stato autenticato. Le domande dovrebbero convalidare questa richiesta per garantire che il token provenga dall'endpoint appropriato [3].
* IAT (emesso a): questo rappresenta il tempo in cui è stato emesso il token, in epoca [3].
* Exp (Tempo di scadenza): questo indica il tempo in cui il token diventa non valido, rappresentato nel tempo di epoca. Le domande dovrebbero utilizzare questa richiesta per verificare la validità della vita token [3].
* NBF (non prima): questa affermazione specifica il tempo in cui il token diventa valido, in epoca. Di solito è lo stesso del tempo in cui è stato emesso il token e la domanda dovrebbe utilizzare questa richiesta per verificare la validità della vita del token [3].
* ver (versione): questo indica la versione del token ID, come definito da Azure AD B2C [3].
* C_HASH (Codice hash): incluso in un token ID solo quando il token viene emesso insieme a un codice di autorizzazione OAuth 2.0. Può essere utilizzato per convalidare l'autenticità di un codice di autorizzazione [3].
* AT_HASH (hash di accesso a token di accesso): incluso in un token ID solo quando il token viene emesso insieme a un token di accesso OAuth 2.0 e utilizzato per convalidare l'autenticità di un token di accesso [3].
* Nonce: una strategia utilizzata per mitigare gli attacchi di replay token. L'applicazione può specificare una nonce in una richiesta di autorizzazione utilizzando il parametro di query `nonce`. Il valore fornito nella richiesta non viene modificato nella pretesa `nonce` solo di un token ID [3].
* Sub (soggetto): questa affermazione rappresenta il principale su cui il token afferma informazioni, come l'utente di un'applicazione. Il valore è immutabile e non può essere riassegnato o riutilizzato. Può essere utilizzato per eseguire controlli di autorizzazione in modo sicuro. Per impostazione predefinita, il reclamo dell'oggetto è popolato con l'ID oggetto dell'utente nella directory [3].
* ACR (riferimento di classe di contesto di autenticazione): usato solo con politiche più vecchie [3].
* TFP (Politica del framework Trust): il nome della politica utilizzata per acquisire il token ID [3].
* Auth \ _time: il tempo in cui un utente ha inserito le credenziali per l'ultima volta, rappresentato in epoca. Non esiste una discriminazione tra quell'autenticazione che è una nuova accesso, una sessione di accesso singolo (SSO) o un altro tipo di accesso [3].
* SCP (portata): si riferisce alle autorizzazioni concesse alla risorsa per un token di accesso. Le autorizzazioni multiple concesse sono separate da uno spazio [3].
* AZP (parte autorizzata): l'ID domanda dell'applicazione client che ha avviato la richiesta [3].
* OID: questa affermazione contiene l'identificatore univoco di un oggetto in Azure AD, è immutabile e non può essere riassegnato o riutilizzato. Può essere usato per identificare un oggetto nelle query su Azure AD [1].
Citazioni:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-be-safely-used-for--mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-frought-would-be-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-drectory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identaty-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-alare-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identaty-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token